Sortera och undersöka incidenter med guidade svar från Microsoft Copilot i Microsoft Defender

  • Artikel
  • Gäller för:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Security Copilot i Microsoft 365 Defender stöder team för incidentsvar för att omedelbart lösa incidenter med guidade svar. Copilot i Defender använder funktioner för AI och maskininlärning för att kontextualisera en incident och lära sig från tidigare undersökningar för att generera lämpliga svarsåtgärder.

Den här guiden beskriver hur du får åtkomst till funktionen för guidade svar, inklusive information om hur du ger feedback om svaren.

Ha kunskap innan du börjar

Om du inte har använt Copilot for Security tidigare bör du bekanta dig med det genom att läsa följande artiklar:

Att svara på incidenter i Microsoft Defender-portalen kräver ofta kunskap om portalens tillgängliga åtgärder för att stoppa attacker. Dessutom kan nya incidenthanteringspersonal ha olika idéer om var och hur de ska börja svara på incidenter. Den guidade svarsfunktionen av Copilot i Defender gör det möjligt för team för incidentsvar på alla nivåer att tillämpa svarsåtgärder på ett säkert och snabbt sätt för att enkelt lösa incidenter.

Copilot för säkerhetsintegrering i Microsoft Defender

Guidade svar är tillgängliga i Microsoft Defender-portalen för kunder som har etablerat åtkomst till Copilot for Security.

Guidade svar är också tillgängliga i den fristående copilot-funktionen för säkerhet via Microsoft Defender XDR plugin-programmet. Läs mer om förinstallerade plugin-program i Copilot for Security.

Nyckelfunktioner

Guidade svar rekommenderar åtgärder i följande kategorier:

  • Sortering – innehåller en rekommendation för att klassificera incidenter som information, sant positiva eller falskt positiva
  • Inneslutning – innehåller rekommenderade åtgärder för att begränsa en incident
  • Undersökning – innehåller rekommenderade åtgärder för vidare undersökning
  • Åtgärd – innehåller rekommenderade svarsåtgärder som ska tillämpas på specifika entiteter som är inblandade i en incident

Varje kort innehåller information om den rekommenderade åtgärden, inklusive den entitet där åtgärden måste tillämpas och varför åtgärden rekommenderas. Korten framhäver också när en rekommenderad åtgärd utfördes av automatiserad undersökning som attackstörningar eller automatiserade undersökningssvar.

De guidade svarskorten kan sorteras baserat på den tillgängliga statusen för varje kort. Du kan välja en specifik status när du visar de guidade svaren genom att klicka på Status och välja lämplig status som du vill visa. Alla guidade svarskort oavsett status visas som standard.

Skärmbild som visar status för svar i Copilot-fönstret på sidan Microsoft Defender incident.

Utför följande steg för att använda guidade svar:

  1. Öppna en incidentsida. Copilot genererar automatiskt guidade svar när en incidentsida öppnas. Copilot-fönstret visas till höger på incidentsidan och visar de guidade svarskorten.

    Skärmbild som visar Copilot-fönstret med guidade svar på sidan Microsoft Defender incident.

  2. Granska varje kort innan du tillämpar rekommendationerna. Välj ellipsen Fler åtgärder (...) ovanpå ett svarskort för att visa de alternativ som är tillgängliga för varje rekommendation. Här är några exempel.

    Skärmbild som visar de alternativ som är tillgängliga för användare i ett guidat svarskort på Copilot-sidopanelen.

    Skärmbild som visar de alternativ som är tillgängliga för användare i ett automationssvarskort i Copilot-fönstret i Microsoft Defender XDR.

  3. Om du vill tillämpa en åtgärd väljer du önskad åtgärd på varje kort. Den guidade svarsåtgärden på varje kort är skräddarsydd för typen av incident och den specifika entitet som ingår.

    Skärmbild som visar de guidade svarskorten i Copilot-fönstret i Microsoft Defender.

  4. Du kan ge feedback till varje svarskort för att kontinuerligt förbättra framtida svar från Copilot. Om du vill ge feedback väljer du feedbackikonen Skärmbild som visar feedbackikonen för Copilot i Defender-kort som finns längst ned till höger på varje kort.

Obs!

Nedtonade åtgärdsknappar innebär att dessa åtgärder begränsas av din behörighet. Mer information finns på sidan Behörigheter för enhetlig rollbaserad åtkomst (Role-based Access – RBAC).

Copilot hjälper till att påskynda analytikernas undersökningsuppgifter. När en incident kräver ytterligare undersökning av en användaraktivitet föreslår Copilot text som analytiker kan använda för att kommunicera med en användare. Det guidade svarskortet innehåller en kontaktanvändare i Teams eller åtgärden Kopiera till Urklipp som kopierar den föreslagna texten till Urklipp. Analytiker kan sedan klistra in texten i ett e-postmeddelande eller ett annat kommunikationsverktyg. Analytikern kan också få mer kontext om användaren via åtgärden Visa användare .

Skärmbild som visar den föreslagna texten för kommunikation i ett guidat svarskort.

Copilot stöder även incidenthanteringsteam genom att göra det möjligt för analytiker att få mer kontext om svarsåtgärder med ytterligare insikter. För åtgärdssvar kan team för incidentsvar visa ytterligare information med alternativ som Visa liknande incidenter eller Visa liknande e-postmeddelanden.

Åtgärden Visa liknande incidenter blir tillgänglig när det finns andra incidenter i organisationen som liknar den aktuella incidenten. På fliken Liknande incidenter visas liknande incidenter som du kan granska. Microsoft Defender identifierar automatiskt liknande incidenter i organisationen via maskininlärning. Team för incidentsvar kan använda informationen från dessa liknande incidenter för att klassificera dem och ytterligare granska de åtgärder som utförs i dessa liknande incidenter.

Åtgärden Visa liknande e-postmeddelanden är specifik för nätfiskeincidenter och tar dig till sidan avancerad jakt där en KQL-fråga för att visa liknande e-postmeddelanden i organisationen genereras automatiskt. Den här automatiska frågegenereringen som är relaterad till en incident hjälper team för incidentsvar att undersöka andra e-postmeddelanden som kan vara relaterade till incidenten. Du kan granska frågan och ändra den efter behov.

Exempel på guidad svarsprompt

I den fristående portalen Copilot for Security kan du använda följande prompt för att generera guidade svar:

  • Generera guidade svar och rekommendationer för Defender-incidenten {incident-ID}.

Tips

När du genererar guidade svar i Copilot for Security-portalen rekommenderar Microsoft att du inkluderar ordet Defender i dina uppmaningar för att säkerställa att funktionen för guidade svar ger resultatet.

Ge feedback

Microsoft uppmuntrar dig starkt att ge feedback till Copilot, eftersom det är avgörande för en funktions kontinuerliga förbättring. Om du vill ge feedback går du till botten av Copilot-sidopanelen och väljer feedbackikonen Skärmbild av feedbackikonen för Copilot i Defender-kort.

Se även

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.